提供此参考信息以帮助识别与不同管理工具关联的凭据泄露风险,以便进行远程管理。
在远程管理方案中,始终在源计算机上公开凭据,因此始终建议对敏感帐户或高影响帐户使用可信的特权访问工作站(PAW)。 凭据是否暴露在目标(远程)计算机上的潜在盗窃,主要取决于连接方法使用的 Windows 登录类型。
下表包含最常见的管理工具和连接方法指南:
| 连接方法 | 登录类型 | 目标上的可重用凭据 | 注释 |
|---|---|---|---|
| 在控制台上登录 | 交互 | v | 包括硬件远程访问/灯出卡或基于网络的键盘、视频和鼠标(KVM)输入。 |
| 鲁纳斯 | 交互 | v | |
| 鲁纳斯 /NETWORK | NewCredentials (新凭证) | v | 克隆当前的 LSA 会话进行本地访问,但在连接到网络资源时使用新凭据。 |
| 远程桌面(成功) | 远程交互 | v | 如果远程桌面客户端配置为共享本地设备和资源,则这些设备也可能遭到入侵。 |
| 远程桌面(失败 - 登录类型被拒绝) | 远程交互 | - | 默认情况下,如果 RDP 登录失败凭据仅短暂存储。 如果计算机遭到入侵,则情况可能并非如此。 |
| 网络使用 * \\SERVER | 网络 | - | |
| Net use * \\SERVER /u:user | 网络 | - | |
| 远程计算机的 MMC 管理单元 | 网络 | - | 示例:计算机管理、事件查看器、设备管理器、服务 |
| PowerShell WinRM | 网络 | - | 示例:Enter-PSSession 服务器 |
| 使用 CredSSP 的 PowerShell WinRM | 网络ClearText | v | New-PSSession 服务器 -身份验证凭证 -凭证可信度 |
| 没有显式凭据的 PsExec | 网络 | - | 示例:PsExec \\server cmd |
| 具有显式凭据的 PsExec | 网络 + 交互式 | v | PsExec \\server -u 用户 -p pwd cmd 创建多个登录会话。 |
| 远程注册表 | 网络 | - | |
| 远程桌面网关 | 网络 | - | 对远程桌面网关进行身份验证。 |
| 计划任务 | 批次 | v | 密码也保存为磁盘上的 LSA 机密。 |
| 以服务的形式运行工具 | 服务 | v | 密码也保存为磁盘上的 LSA 机密。 |
| 漏洞扫描程序 | 网络 | - | 大多数扫描程序默认使用网络登录,尽管某些供应商可能实现非网络登录并引入更多的凭据盗窃风险。 |
对于 Web 身份验证,请使用下表中的参考:
| 连接方法 | 登录类型 | 目标上的可重用凭据 | 注释 |
|---|---|---|---|
| IIS “基本身份验证” | 网络明文 (IIS 6.0+) 交互 |
v | |
| IIS“集成 Windows 身份验证” | 网络 | - | NTLM 和 Kerberos 提供程序。 |
列定义:
- 登录类型 - 标识连接启动的登录类型。
-
目标上的可重用凭据 - 指示以下凭据类型存储在本地登录指定帐户的目标计算机上的 LSASS 进程内存中:
- LM 和 NT 哈希
- Kerberos TGT
- 纯文本密码(如果适用)。
此表中定义的符号如下:
- (-) 表示未公开凭据时。
- (v) 表示何时公开凭据。
对于不在此表中的管理应用程序,可以从审核登录事件中的登录类型字段确定登录类型。 有关详细信息,请参阅 审核登录事件。
在基于 Windows 的计算机中,无论使用哪种身份验证协议或身份验证器,所有身份验证都作为多种登录类型之一进行处理。 此表包括最常见的登录类型及其与凭据盗窃相关的属性:
| 登录类型 | # | 接受的验证器 | LSA 会话中的可重用凭据 | 例子 |
|---|---|---|---|---|
| 交互式(也称为本地登录) | 2 | 密码、智能卡、 其他 |
是的 | 控制台登录; 鲁纳斯; 硬件远程控制解决方案(例如网络 KVM 或远程访问/服务器中的 Lights-Out 卡) IIS 基本身份验证(IIS 6.0 之前) |
| 网络 | 3 | 密码 NT 哈希, Kerberos 票证 |
否(除非启用了委派,则存在 Kerberos 票证) | NET使用; RPC 调用; 远程注册表; IIS 集成 Windows 身份验证; SQL Windows 身份验证; |
| 批次 | 4 | 密码(存储为 LSA 机密) | 是的 | 计划任务 |
| 服务 | 5 | 密码(存储为 LSA 机密) | 是的 | Windows 服务 |
| 网络明文 | 8 | 密码 | 是的 | IIS 基本身份验证(IIS 6.0 及更新); 使用 CredSSP 的 Windows PowerShell |
| NewCredentials (新凭证) | 9 | 密码 | 是的 | 鲁纳斯 /NETWORK |
| 远程交互 | 10 | 密码、智能卡、 其他 |
是的 | 远程桌面(以前称为“终端服务”) |
列定义:
- 登录类型 - 请求的登录类型。
- # - 安全事件日志中的审核事件中报告的登录类型的数字标识符。
- 接受的验证器 - 指示哪些类型的验证器能够启动此类型的登录。
- LSA 会话中的可重用凭据 - 指示登录类型是否会导致 LSA 会话持有凭据,例如纯文本密码、NT 哈希或 Kerberos 票证,这些票证可用于向其他网络资源进行身份验证。
- 示例 - 列出使用登录类型的常见方案。
注释
有关登录类型的详细信息,请参阅 SECURITY_LOGON_TYPE枚举。
后续步骤